caputo 10 Geschrieben 7. November 2007 Melden Teilen Geschrieben 7. November 2007 Hallo Forum, ich habe heute einen Terminal Server ins Netz genommen. (ad mit 2003er Servern). Die User bekommen an Ihren Clients per logon Script diverse Laufwerke gemappt. Wenn sich ein User aber am Terminal Server anmeldet, wird das logon script des jeweiligen users nicht abgearbeitet. Durch was kann die Ausführung der Logon Scripte geblockt werden? Vielen Dank für Eure Hilfe! Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 7. November 2007 Melden Teilen Geschrieben 7. November 2007 Durch entsprechende GPO Settings und durch eine lokale Anmeldung am TS, mehr fällt mir erstmal nicht ein... Zitieren Link zu diesem Kommentar
caputo 10 Geschrieben 8. November 2007 Autor Melden Teilen Geschrieben 8. November 2007 Danke für deine Antowrt! Lokal meldet sich kein User am TS an, nur Remote! Dass es wohl an den GPO settings liegt habe ich mir auch gedacht, aber welche könnten die Ausführung der Scripte verhindern. Hab nicht viele Settings und kann keines ausmachen, welches das Verhindern könnte! In meiner VM-Ware Testumgebung werden die Scripte ausgeführt...nur ich finde den Unterschied nicht! Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 8. November 2007 Melden Teilen Geschrieben 8. November 2007 Danke für deine Antowrt! Lokal meldet sich kein User am TS an, nur Remote! Das ist schon klar, was ich meinte ist, dass sich die Nutzer statt an der Domain an dem TS anmelden... ist aber eher unwahrscheinlich. Dass es wohl an den GPO settings liegt habe ich mir auch gedacht, aber welche könnten die Ausführung der Scripte verhindern. Hab nicht viele Settings und kann keines ausmachen, welches das Verhindern könnte! In meiner VM-Ware Testumgebung werden die Scripte ausgeführt...nur ich finde den Unterschied nicht! Hast Du die GPMC auf dem DC installiert? Dort kannst Du die Settings relativ einfach einsehen. Zitieren Link zu diesem Kommentar
caputo 10 Geschrieben 8. November 2007 Autor Melden Teilen Geschrieben 8. November 2007 ja ist installiert. übersicht hab ich mir ausgedruckt. aber eingestellt ist nur, was alles für den user ausgeblendet sein soll ("systemsteuerung", etc) sowie welche programme ausgeführt werden dürfen (z.b. msaccess.exe) Wenn ich die Vererbung deaktiviere gilt ja nur die GPO die explizit der OU "TerminalServer" zugewiesen habe! Oder? Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 8. November 2007 Melden Teilen Geschrieben 8. November 2007 Hast du schon geguckt, ob die entsprechende Richtlinie überhaupt gezogen wird? (gpresult /user *username*) Ansonsten sagt das Eventlog eigentlich immer was da falsch läuft oder warum etwas geblockt wird. Was steht da also drinne? Zitieren Link zu diesem Kommentar
caputo 10 Geschrieben 8. November 2007 Autor Melden Teilen Geschrieben 8. November 2007 Die Richtlinie wird gezogen, da ja meine Einschränkungen aktiv sind (z.b. deaktivierte Systemsteuerung). Via gpresult wird das auch bestätigt. Vielleicht sollte ich erwähnen, dass jeder User ein eigenes Script hat und die nicht via GPO angewandt werden, sondern im jeweiligen User Profil hinterlegt ist, welches Profil gilt (Benutzerprofil>Anmeldeskript)! Im Ereignis Log steht nix relevantes... Zitieren Link zu diesem Kommentar
caputo 10 Geschrieben 8. November 2007 Autor Melden Teilen Geschrieben 8. November 2007 so hab endlich rausgefunden woran es liegt! und zwar habe ich in meiner GPO folgendes eingestellt: -Zugriff auf Eingabeaufforderung verhindern => AKTIVIERT Soll die Skriptverarbeitung der Eingabeaufforderung auch deaktiviert werden? => NEIN -Nur zugelassene Windows-Anwendungen ausführen => AKTIVIERT msaccess.exe acrobat.exe Das ganze beißt sich irgendwie. Wenn ich nun den Zugriff auf die Eingabeaufforderung wieder zulasse und in den zugelassenen Anwendungen die cmd.exe aufnehme läuft das Skript dennoch nicht ab. Deaktiviere ich "nur zugelassene Windwos Anwendungen ausführen" läuft das Skript! Wie soll man das verstehen. Ich kann mich damit abfinden, dass die Eingabeaufforderung aktiv bleibt, aber will weiterhin nur bestimmte Programe starten lassen. weiß jemand wie das geht? ps: ich hoffe ich habe mich verständlich ausgedrückt! Danke! Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 8. November 2007 Melden Teilen Geschrieben 8. November 2007 Du kannst doch in den Richtlinien für Softwareeinschränkungen grundsätzlich alles dicht machen und dann frei geben, nach Pfad, Hash-Wert, usw, etc.. Damit sollte das doch machbar sein, was du willst. Oder hab ich dich nun falsch verstanden? Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 8. November 2007 Melden Teilen Geschrieben 8. November 2007 so hab endlich rausgefunden woran es liegt! und zwar habe ich in meiner GPO folgendes eingestellt: -Zugriff auf Eingabeaufforderung verhindern => AKTIVIERT Soll die Skriptverarbeitung der Eingabeaufforderung auch deaktiviert werden? => NEIN -Nur zugelassene Windows-Anwendungen ausführen => AKTIVIERT msaccess.exe acrobat.exe Hab diese Kombi noch nie am Laufen gehabt aber was passiert, wenn Du explizit das Script als zugelassene Anwendung hinterlegst? Zitieren Link zu diesem Kommentar
caputo 10 Geschrieben 8. November 2007 Autor Melden Teilen Geschrieben 8. November 2007 jeder user hat ein eigenes logon skript. wenn ich jetzt das skript "user1.cmd" als zugelassene anwendung definiere, dann läuft es durch. steht aber nur cmd.exe als zugelassene anwendung fest, wird kein skript ausgeführt. also absolut bescheuert das ganze... @rocker: nö, es ist aus oben genanntem grund leider nicht machbar. wollte den ts komplett dicht machen. nun können die user über den arbeitsplatz alle programme ausführen...aber egal, die rechte sind ja eingeschränkt! VIELEN DANK EUCH FÜR EUER INTERESSE UND EURE HILFE!!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.